02-AplicacaoesSeguracaUsandoSDN

Parte I Parte II Parte III

Aplicacoes de seguranca usando SDN

Andre Gregio, CTI

GTS 22

Dezembro, 2013

Aplicacoes de seguranca usando SDN GTS 22


Agenda

1 Parte IIntroducao

2 Parte IIAtaques contra SDN

3 Parte IIISDN: Aplicacoes de Seguranca



Introducao

Agenda

1 Parte IIntroducao





Introducao

Enquanto isso, na camada de rede...

Encaminhamento de IP

O datagrama IP nao precisa passar por um roteador se origeme destino:

estao diretamente conectados (link ponto-a-ponto);sao parte de uma rede compartilhada (Ethernet).

Senao, o host de origem envia o datagrama para o roteadorpadrao, o qual intermedia a entrega para o host de destino.

IP mantem a tabela de encaminhamento para lidar compacotes que chegam via interface de rede.



Introducao

Tabela de Encaminhamento

Campos importantes

Destino: IP (32 ou 128 bits); 0 ⇒ default route.

Next-hop: IP da proxima entidade (roteador ou host).

Interface: Identificador da interface de rede para envio.

Peculiaridades

hop-by-hop, sem o caminho completo.

next-hop: mais perto do destino; diretamente conectado; semloops.

Protocolos de roteamento devem garantir que a tabela estacorreta.



Introducao

Planos... [1/3]

Fonte: http://wiki.nil.com/Control_and_Data_plane


http://wiki.nil.com/Control_and_Data_plane


Introducao

Planos... [2/3]

Control Plane (CP)

Recebe e processa informacoes de outras “caixas”;

Atualiza mudancas ocorridas na topologia;

Passa instrucoes para a tabela de encaminhamento no DataPlane;

Pode usar seu proprio mecanismo de encaminhamento paradeterminar a interface de saıda ou o next-hop router;

Em SDN, o CP esta fora do switch/router ⇒ aplicacaobaseada em computadores comuns...

Permite que um controlador modifique remotamente ocomportamento de dispositivos de rede por meio de umconjunto de instrucoes bem definido.



Introducao

Planos... [3/3]

Data Plane (DP)

Recebe e processa pacotes de entrada e encaminha pacotesque necessitam de processamento especial ou de atualizacaode protocolos de roteamento para o CP;

Direciona cada pacote para a saıda correta;

Cria a tabela de encaminhamento;

Foco no desempenho.



Introducao

Redes Definidas por Software

Caracterısticas

Abordagem de redes na qual o CP nao e feito por hardware,mas por uma aplicacao chamada “controlador”.

Permite que o trafego possa ser moldado de acordo commudancas necessarias a partir de um ponto central decontrole.

Alta granularidade promove o gerenciamento de carga maisflexıvel e eficiente.

Maior controle sobre o fluxo do trafego de rede.

Suporta uma matriz de comutacao entre equipamentos dediferentes vendedores.



Introducao

Motivacao

SDN e seguranca

Complexidade das camadas/domınios de rede ⇒ dispositivosde seguranca para controlar cada aspecto ou zona.

SDN: rotinas podem ser escritas para adicionarfuncionalidades aos dispositivos (controle de trafego,inspecao, alertas);

Separacao dos planos (controle e dados) permite a criacao desolucoes mais “abertas”, i.e., menos proprietarias e complexasdo que as dos planos de controle dos dispositivos de redeatuais.



Introducao

Vantagens de SDN

Possibilidades...

Controle centralizado, automacao distribuıda;

Rede pro-ativa, implementacao de QoS facilitada;

Requisicao dinamica de servicos de rede por aplicacoes;

Seguranca adaptativa;

Pode levar a tratamento mais eficiente de incidentes.



Introducao

OpenFlow

Caracterısticas

Especificado pela Open Networking Foundation;

Padrao aberto para a implementacao de SDN ⇒ prove acessopor software as tarefas de controle de fluxo;

OF switches separam o encaminhamento rapido de pacotes(data path),ainda feito por switch convencional, das decisoesde roteamento de alto nıvel (control path).

Fonte:https://www.opennetworking.org


https://www.opennetworking.org


Introducao

OpenFlow [1/2]

OpenFlow Switch∗

A tabela de fluxos e controlada por um dispositivo remoto.∗http://archive.openflow.org//documents/openflow-wp-latest.pdf


http://archive.openflow.org//documents/openflow-wp-latest.pdf


Introducao

OpenFlow [2/2]

Do ponto de vista da seguranca:

OF permite rıgido controle sobre decisoes de roteamento dosfluxos pelos DP dos componentes de rede.

O controle envolve a possibilidade de implementacao de logicamais complexa, por ex.:

Regras stateful para procedimentos de quarentena;Migracao/redirecionamento transparente de conexoesmaliciosas;Tecnicas para deteccao de ataques baseadas em fluxos podemser reimplementadas e distribuıdas de maneira mais eficiente.



Ataques contra SDN

Agenda

1 Parte IIntroducao





Ataques contra SDN

Ataques contra SDN∗ [1/3]

Introducao

Ataque eficiente contra SDN por meio de conhecimentos decaracterısticas basicas da tecnologia.

Varredura e identificacao de SDN (fingerprinting).

Lancamento de ataque de consumo excessivo de recursos -violacao do princıpio da disponibilidade.

“SDN trazem novos problemas de seguranca...”

∗Shin, S., Gu, G. Attacking Software-Defined Networks: A First Feasibility Study. HotSDN 2013.



Ataques contra SDN

Ataques contra SDNs [2/3]

Motivacao

Propriedade basica de operacao ⇒ separacao dos planos dedados e controle.

1 Plano de dados solicita por regras de fluxo ao plano decontrole para tratar novos pacotes.

2 Plano de controle, reativo, reforca suas regras dinamicamentepara manter a eficiencia.

3 Problemas ocorrem quando ha muitas requisicoes do plano dedados para o de controle.

DP pode inundar o CP com mensagens de requisicao.DP (tabela de fluxos) pode ser inundado pelas regras portratar tantas requisicoes.



Ataques contra SDN

Ataques contra SDNs [3/3]

O Ataque

Fingerprinting:determina, com baseem tempo deresposta, se uma redeusa switches baseadosem SDN/OpenFlowpara gerar requisicoes“especiais” de fluxosdo DP ao CP.

DoS por consumode recursos nosPlanos.



SDN: Aplicacoes de Seguranca

Agenda

1 Parte IIntroducao






Projetos Open Source em SDN [1/2]

Networks Functions Virtualization Security Application

CPqD / of13softswitch: An OpenFlow 1.3 compatibleuser-space software switch implementation based on theEricsson TrafficLab 1.1 softswitch implementation.

Indiana University InCNTRE / FlowScale: FlowScale is aproject to divide and distribute traffic over multiple physicalswitch ports. FlowScale replicates the functionality in loadbalancing appliances but using a Top of Rack (ToR) switch todistribute traffic.

Fonte: http://www.sdncentral.com/comprehensive-list-of-open-source-sdn-projects/


http://www.sdncentral.com/comprehensive-list-of-open-source-sdn-projects/



Projetos Open Source em SDN [2/2]

Networks Functions Virtualization Security Application

SRI International / FortNOX: FortNOX is an extension tothe open-source NOX OpenFlow controller. FortNOXautomatically checks whether the new flow rules violatesecurity policies.

SRI International / FRESCO: FRESCO is an initiative todevelop an OpenFlow application framework for rapidlyprototyping security detection and mitigation modules, andcomposing these modules into efficiently deployable securityservices.

CPqd / RouteFlow: RouteFlow is an open source project toprovide virtualized IP routing services in OpenFlow networks.




FortNOX∗

Motivacao

Um switch OpenFlow deve ser continuamente reprogramadopara lidar com os fluxos correntes.

Como reforcar a polıtica de seguranca evitando conflitos?

NOX OpenFlow controller: encaminha regras de fluxos deuma aplicacao OF para o switch.

Diversas aplicacoes OF podem inserir dinamicamentediferentes polıticas de controle de fluxo ⇒ sobrescrita deregras, evasao de polıticas de seguranca.

FortNOX ⇒ Extensao do NOX OF controller.

∗Porras, P., Shin, S., Yegneswaran, V., Fong, M., Tyson, M. Gu, G. Security Enforcement Kernel for OpenFlow

Networks. HotSDN 2012.




FortNOX

Caracterısticas

Prove reforco (non-bypassable) das regras de fluxo com baseem polıticas aplicadas nas requisicoes de insercao de regras defluxo feitas por aplicacoes OF.

Role-based Source Authentication: validacao/priorizacao deregras por assinatura digital;

Conflict Analyzer: avalia regras candidatas contra o conjuntovigente;

State Table Manager: mantem a tabela agregada de fluxos,que armazena as regras;

Flow Rule Timeout Callback: interface para atualizar a tabelade fluxos.




Security-Enhanced Floodlight

Versao melhorada e estendida do FortNOX

Menor privilegio: aplicacoes OpenFlow operam fora docontexto de processo do controlador.

Autenticacao digital para produtores de regras de fluxo.

Deteccao de conflitos inline para as regras de fluxo.

Auditoria de seguranca: subsistema OF que traca eventosde seguranca produzidos pela plilha de rede OpenFlow.

Download: www.openflowsec.org/Download-SEK.html


www.openflowsec.org/Download-SEK.html



CloudWatcher∗

O que e?

Framework com o objetivo de proteger uma rede em cloud.

Controla fluxos de rede para garantir que todos os pacotesnecessarios sejam inspecionados por dispositivos de seguranca(e.g., NIDS).

Prove uma linguagem simples para rotinas de implementacaodas polıticas que garantirao o objetivo anterior.

Tira vantagem da tecnologia de SDN para controlar os fluxos.

Opera como uma aplicacao sobre um S.O. de rede (e.g.,NOX, Beacon)

∗Shin, S., Gu, G. CloudWatcher: Network Security Monitoring Using OpenFlow in Dynamic Cloud Networks.

ICNP-NPSec 2012.




CloudWatcher

Caracterısticas

Componentes:

Gerenciador das informacoes sobre os dispositivos deseguranca;Criador de regras para lidar com os pacotes de cada fluxo;Implantador das regras de fluxo geradas para os switches.

Limitacoes:

Se o administrador especificar dois dispositivos de segurancaque nao se comunicam entre si, nao serao gerados caminhos deroteamento;Muitos novos fluxos ⇒ problemas de desempenho.




CloudWatcher

Arquitetura




AVANT-GUARD∗

Problemas de SDN

Controladorcentralizado e ogargalo daescalabilidade dasSDN durante rajadasde trafego anomalo.

OF nao facilita ainspecao do conteudode pacotes, fazendocom que o DP tenhaseu desempenhodegradado.

∗Shin, S., Yegneswaran, V., Porras, P., Gu, G. AVANT-GUARD:

Scalable and Vigilant Switch Flow Management in Software-Defined

Networks. ACM CCS 2013.




AVANT-GUARD

Connection Migration

Adiciona inteligencia ao DP para diferenciar origens quecompletarao conexoes TCP.

Proxy de TCP handshake ⇒ SYN cookies!

Apenas as requisicoes de fluxo que completam o handshakevao para o CP.

Protege contra ataques de inundacao e/ou com origemforjada (requisicao de fluxo nao e encaminhada).

Overhead mınimo.




AVANT-GUARD

Actuating Triggers

Retorna para o CP informacoes de estado e payload da redede maneira assıncrona.

Permite ativar regras sob condicoes pre-definidas para que oCP gerencie os fluxos sem atrasos.




FRESCO∗

O que e?

Framework de desenvolvimento de aplicacoes de segurancavoltado para o padrao OpenFlow:

Design rapido;Composicao de modulos para deteccao e mitigacao de ataquesem OpenFlow.

O proprio framework e uma aplicacao baseada em OpenFlow.

OF capturam e armazenam estado de sessoes TCP de maneiranao uniforme.Prove API para facilitar regras de aplicacoes baseadas em DPI.

∗Shin, S., Porras, P., Yegneswaran, V., Fong, M., Gu, G., Tyson, M. FRESCO: Modular Composable Security

Services for Software-Defined Networks. NDSS 2013.




FRESCO

Caracterısticas

Camada de aplicacao (interpretador e APIs) + SEK(implementacao de polıticas de seguranca).

Controlador de recursos ⇒ monitora switches de rede OF emantem registro dos estados (tabela de fluxos).

Linguagem de scripting ⇒ desenvolvimento de aplicacoes deseguranca a partir de modulos basicos.

Criacao de funcoes de seguranca com sobrecarga mınima ecerca de 90% menos linhas de codigo.

A ser disponibilizado como software open source.




FRESCO: Aplicacoes - Reflector




FRESCO: Aplicacoes - Quarentena




Mais aplicacoes de seguranca

SDN Security Actuator

Permite que produtos de seguranca legados sejam integradosa uma pilha de rede OF.

Traduz diretivas de resposta em regras OF enviadas aoSE-Floodlight.

Foco em identificar maquinas infectadas/maliciosas.

Download: www.openflowsec.org/Download-SAC.html

OF-BotHunter

Aplicacao de referencia para um servico antimalware.

Sistema de analise passivo baseado em rede que detecta bots,worms, etc. na rede interna.

Download: www.openflowsec.org/Download-OFB.html


www.openflowsec.org/Download-SAC.html

www.openflowsec.org/Download-OFB.html



Wrapping up

Seguranca vs. SDN

Novas preocupacoes e vulnerabilidades.

Solucoes podem ser projetadas do inıcio para atender ao novoparadigma.

Problemas de dispositivos legados para tratar.

Portabilidade de solucoes pode ser mais facil.

Disseminar a tecnologia e desenvolver aplicacoes que autilizem ajuda a resolver suas limitacoes atuais...




Obrigado!

Contato

Andre [email protected]


02-AplicacaoesSeguracaUsandoSDN

Documents

Transcript of 02-AplicacaoesSeguracaUsandoSDN